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Speicherarchitektur ffir Kraf tf ahrzeugrechner 

Die Erfindung betrifft ein Verfahren zur Oberwachung und zur 
Fehlerkorrektur von Speicher in sicherheitskritischen 
Applikationen, welches insbesondere in einem elektronischen 
Kraft fahrzeugsteuergerat durchgef tihrt wird . 

Elektronische SteuergerSte fur Kraf tf ahrzeugbremsen Uberneh- 
men im Zuge der technischen Entwicklung immer mehr Funktio- 
nen des Brems systems - Wurde friiher lediglich die ABS- 
Funktion elektronisch gesteuert und geregelt, wird in heuti- 
gen "by-wire" Bremsanlagen die vollstandige Bremsf unktion 
vom elektronischen SteuergerSt kontrolliert . Daher besteht 
ein zunehmender Bedarf an elektronischen Kraf tf ahrzeugsteu- 
ergerSten mit hoher ZuverlMssigkeit . 

Oblicherweise umfassen bekannte elektronische Kraf tf ahrzeug- 
steuergerate zur BewSltigung der komplexen Funktionen pro- 
grammgesteuerte Mikroprozessorsysteme . Es ist weiterhin 
bekannt, dass die Zuverlassigkeit der gattungsgemSfien Mikro- 
prozessorsysteme verbessert wird, wenn bei der Speicherung 
von Daten in einem m^-Speicher Priifdaten erzeugt werden. 

Die Zuverlassigkeit eines Kraf tf ahrzeugrechnersystems ISsst 
sich gemaii der DE 101 09 449 auch dadurch verbessern, dass 
beim Lesen von Flash-Speicherri durch den Mikroprozessor fur 
jede Datenzeile Paritatsbits im gleichen Speicherbaustein 
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Oder in einem separaten Speicherbaustein abgelegt werden, 
wahrend des Speicherzugrif f s werden ebenfalls Paritatsbits 
erzeugt und zum Zwecke der FehlerOberprtifung mit den gespei- 
cherten PrUfdaten verglichen. 

Eine zeilenweise Absicherung von Daten in einem Datenspei- 
Cher durch Speicherung von Paritatsbits erlaubt zwar das 
Erkennen von Einzelf ehlern fUr kleine Blockgr5Ben 
(Halbworte/ Worte) , ist jedoch vergleichsweise speicher- 
platzaufwendig. Daher wird ublicherweise in abgesicherten 
mehrkernigen Mikroprozessorssystemen ein zusatzlicher Pari- 
tatsspeicher geschaffen, in dem lediglich die Prtifdaten 
gespeichert werden. Dies bietet gegentiber einem vollredun- 
danten Speicher den Vorteil, dass Chipflache eingespart 
werden kann. 

Es ist bekannt, PrOfdaten mittels Fehlerkorrekturcodes wie 
Hamming Code oder Berger Code auf dem Speicherchip / Spei- 
chercore vorzusehen, urn 

• transiente Fehler zu korrigieren. 

• die garantierte Lebensdauer eines Produktes zu erh5hen. 

• durch das Maskieren von Fertigungsf ehlern die Ausbeute 
zu erhohen. 

Vorzugsweise werden die Prufdaten nach einem CRC- oder ECC- 
Verf ahren erzeugt . 

Bei diesen bekannten Verfahren und Bauelementen ist die 
Fehlerkorrektur im Speichercore integriert, so dass Fehler 
im Speicherwrapper und auf den Adress- und Datenleitungen 
zum Core hin nicht erkannt bzw. korrigiert werden konnen. 
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AuBerdem wird die Adresse an sich nicht mit in die Fehlerer- 
kennung einbezogen. 

Unter dem Begriff Rechnersystem werden ganz allgemein ein- 
zelne oder auch vernetzte Computer systeme wie z.B. Mikrocon- 
troller verstanden, welche neben einer Zentralrecheneinheit 
(CPU) zusatzlich Speicher und Ein-/Ausgabef unktionen umfas- 
sen, Diese Systeme konnen "einkernig" oder insbesondere 
"mehrkernig" ausgeftihrt sein, wobei bei einem mehrkernigen 
System die Rechnersysteme zwei oder mehrere Zentralrechen- 
einheiten umfassen. 

Um auch diese Fehler sicher erkennen zu konnen, wird insbe- 
sondere in mehrkernigen Mikroprozessoren eine Architektur 
benutzt, die einen vom Programmspeicher vollkoramen getrenn- 
ten Paritatsspeicher verwendet. Das bedeutet nun aber einen 
erheblichen Mehraufwand bezuglich Flache und damit Kosten 
fiir einen zweiten Wrapper mit Ladungspumpe . 

Beim insbesondere als Flash-Memory ausgef lihrten Applika- 
tionsspeicher konnen nur ganze Segmente gel5scht und pro- 
grammiert werden. Ein.klein segmentierter Flashspeicher 
ben^tigt eine erheblich grSfJere Flache verglichen mit einem 
Flashspeicher mit groBeren Segmenten. Deshalb ist die Gr5I5e 
der Segmente nach unten hin von den Herstellern begrenzt. Da 
einzelne Programm- und Datenteile unabhSngig voneinander 
programmiert und gel5scht werden mUssen (sowohl die Daten 
als auch das zugeh5rige Parity) und die kleinste Segment- 
gr51ie des Parity beschrSnkt ist, ergeben sich sehr groBe 
Bereiche urtgenutzten Speichers. 
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Es wird ein Verfahren vorgeschlagen, das die Fehlerkorrektur 
zum EmpfSnger der Daten hin verschiebt und somit eine Ober- 
wachung und Fehlerkorrektur sowohl des Datenfeldes als auch 
der Speicherwrapper mit Adressdekodierung und der Daten- 
/Adressleitungen zulalit. Weiterhin werden die Adressdaten 
mit zur Berechnung der Fehlererkennungskodes herangezogen. 

Beschreibung der Erfindung: 

OberprUfung der Adressen: 

Adressdaten werden mit in die Berechnung der Checkbits 
einbezogen, d.h. sowohl die Dekodierung / Fehlerkorrektur 
als auch die Codegenerierung basiert auf Daten und Adressen 
(siehe Abb. 1) . Damit konnen eventuelle Fehler in der 
Adressdekodierlogik erkannt werden (Fehler 4 in Abb. 1) - 
Durch die BerUcksichtigung der Adressen entsteht kein zu- 
sStzlicher Speicheraufwand. Nach einer bevorzugten AusfOh- 
rungsform der Erfindung werden die PrUfdaten nach der Metho- 
de der Hammingkode-Generierung mit einer Hammingdistanz von 
insbesondere etwa 4 erzeugt- Hierdurch ist es z. B. m5glich 
mit 8 Bit PrUf daten 120 Datenbits zu kodieren. Da (iblicher- 
weise Datenbreiten in Zweierpotenzen benutzt werden, stehen 
geniigend Bits fUr die Einbeziehung der Adressen zur Verfa- 
gung. Es ist nicht immer sinnvoll, die Adressen zu korrigie- 
ren, da die Daten, die zu der fehlerhaften Adresse gehoren 
und nicht angefordert wurden, ausgelesen wurden. 

Oberprufung / Korrektur der Daten- und Adressleitungen : 
Durch die Verlagerung der OberprUf ungs- und Korrekturlogik 
hin zum Datenempf Snger werden die Pfade zwischen Speicher 
und Datenempf anger mit UberprUft und gegebenenf alls korri- 
giert (Fehler 1-3 in Abb. 1) . 
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Oberprufung der Korrekturlogik durch eine zweite Oberpru- 
funqseinheit : 

Die Korrektur eventueller Fehler wird durch eine zweite 
Oberprufungseinheit uberwacht. Dabei werden aus den korri- 
gierten Daten und den Adressen der zweiten CPU Checkbits 
berechnet und mit den (ev. korrigierten) Checkbits vom 
Speicher verglichen (siehe Abb. 2) . Damit kann das Verfahren 
far die Teves Dual Core Architektur verwendet werden. 

Das hier vorgeschlagenen Verfahren ist besonders effektiv 
fur externen Speicher und fur separaten Speicher innerhalb 
eines Multi-Chip-Moduls (MCM) , kann aber auch fur On-Chip- 
Speicher erhebliche Vorteile bringen. 

Das erf indungsgemSBe Rechnersystem ist vorzugsweise Bestand- 
teil eines elektronischen Kraf tf ahrzeugsteuergerates, insbe- 
sondere eines elektronischen Reglers (ECU), welcher mit 
einem hydraulischen Bremsensteuergerclt (HCU) steckbar zu 
einem blockf ormigen Verbund zusammengef ugt ist. Die Erfin- 
dung betrifft daher auch die Verwendung des weiter oben 
beschriebenen Rechnersystems in elektronischen Steuergeraten 
fur Kraftf ahrzeuge, insbesondere in elektronischen Kraft- 
f ahrzeugbremssystemen . 

Vorteile : 

o Bestehende L5sungen iiberprUfen und korrigieren nur Feh- 
ler im Datenarray (Fehler 5 und 6 in Abb.l) . 

o Das vorgeschlagene Verfahren erlaubt die Oberprufung 
der Adressdekodierlogik (Fehler 4 in Abb. 1) 
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o Das vorgeschlagene Verfahren erlaubt die Oberpriifung 

und mdgliche Fehlerkorrektur der Daten- und Adresslei- 

tungen (Fehler 1-3 in Abb- 1) 
o Mit einer zweiten Fehlerdetektionslogik kann die ei- 

gentliche Fehlerkorrektur und -erkennung Qberpruft wer- 

den. 

o Verglichen mit der zur Zeit in Kraf tf ahrzeugbreitissyste- 
men verwendeten Architektur kann der separate Paritats- 
speicher inklusive Wrapper und Ladungspumpe eingespart 
werden. Das Problem der kleinen Segmentierung mit gro- 
lien Bereichen ungenutzten Speichers wird damit vermie- 
den . 

Zusammenfassung 

• Erweiterung der Fehlererkennung auf Obertragungswege 
(besonders wichtig bei externen Komponenten mit stbran- 
fSlligen langen Verbindungen zum Rechenkern) . 

• Erweiterung der Fehlererkennung auf den Adressdecoder . 
Das ist besonders dann vorteilhaft, wenn nur ein einzi- 
ger Adressdecoder verwendet werden soil. 

• Erweiterung der Fehlererkennung auf die Fehlerkorrektur 
und -erkennung. 

• Kein Perf ormanceverlust gegenuber bestehenden Losungen 
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Pa'ben'ban spruche 

1. Verfahren zur Erkennung und/oder Vermeidung von Spei- 
cherzugrif f sf ehlern in einem Rechnersystem mittels eiher 
ersten Fehlererkennungseinrichtung (2), insbesondere um- 
fassend mindestens zwei Rechnerkerne, bei dem innerhalb 
des Speichers (3) neben den abzusichernden Daten (6) zu- 
satzlich Priaf daten (7) abgelegt werden, welche unter 
Verwendung der abzusichernden Daten erzeugt wurden, da- 
durch gekennzeichnet, dass bei der PrUfdatengenerierung 
Daten mit den jeweils zugeh5rigen Adressen dieser Daten 
verknupft und diese im gleichen Speicher, insbesondere 
im gleichen Datensegment , aus dem die zu uberpriif enden 
Daten stammen, gespeichert werden. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet: , dass 
bei der Generierung der Prufdaten mehrere Zeilen des 
Speichers verknUpft werden. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeich- 
net, dass sowohl bei der Speicher-Dekodierung, der Feh- 
lerkorrektur als auch bei der PrUfdatengenerierung Daten 
gemeinsam mit deren zugeh5rigen Adressen verarbeitet 
werden . 

4 . Verfahren nach mindestens einem der vorhergehenden An- 
spriiche, dadurch gekennzeichnet, dass die erste Feh- 
lererkennungseinrichtung durch eine weitere Oberpru- 
fungseinheit (8) uberpriift wird. 
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5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, dass 
Adressdaten, welche an einem Adressbus zwischen dem wei- 
teren Rechnerkern (9) und der weiteren Oberpruf ungsein- 
heit (8) anliegen, von Oberprtif ungseinheit (8) zur Er- 
zeugung von Vergleichspruf daten (16) verarbeitet werden. 

6. Verfahren nach Anspruch 4 oder 5, dadurch gekennzeich- 
net, dass die weitere OberprOf ungseinheit Vergleich- 
sprtif daten aus Daten und Adressen erzeugt^ welche mit 
Prufdaten der ersten Fehlererkennungseinrichtung oder 
mit Prafdaten des Speichers, welcher mit der ersten Feh- 
lererkennungseinrichtung verbunden ist, verglichen wer- 
den, wobei die verwendeten Daten vom Datenbereich der 
ersten Rechnereinheit stammen, 

7. Verfahren nach mindestens einem der Ansprtiche 1 bis 6, 
dadurch gekennzeichnet, dass die Daten, Prufdaten und 

Adressen, welche zwischen der erste Fehlererkennungsein- 
richtung und dem Applikationsspeicher abertragen werden, 
mittels getrennter Busleitungen (11, 12, 13) iibertragen 
werden • 

8. Verfahren nach mindestens einem der Ansprtiche 1 bis 7, 
dadurch gekennzeichnet, dass zumindest die Daten und die 
Prufdaten, welche zwischen der weiteren Oberpriif ungsein- 
heit (8) und der erste Fehlererkennungseinrichtung (2) 
und/oder dem Applikationsspeicher iibertragen werden, 
mittels getrennter Busleitungen (14, 15) iibertragen wer- 
den. 
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9. Elektronische Schaltungsanordnung, insbesondere zur 
Durchfuhrung des Verfahrens nach mindestens einem der 
Anspriiche 1 bis 8, dadurch gekennzeichnet, dass ein er- 
ster Rechnerkern (1) mit einer ersten Fehlererkennungs- 
einrichtung (2) verbunden ist, welche mit einem Daten- 
speicher (3) verbunden ist, wobei die Fehlererkennungs- 
einrichtung einen Prtif datengenerator (4), eine Buslogi- 
keinrichtung (5) sowie einen Korrekturblock (6) umfasst. 

10. Schaltungsanordnung nach Anspruch 9, dadurch gekenn- 
zeichne-b, dass die Fehlererkennungseinrichtungen nach 
der Erfindung nicht in der Speicherlogik (10) implemen- 
tiert sind. 

11. Schaltungsanordnung nach Anspruch 9 oder 10^ dadurch 
gekennzelchnet:, dass der Speicher (3) nur segmentweise 
ISschbar ist und insbesondere zur Speicherung von Appli- 
kationssof tware dient . 

12. Schaltungsanordnung nach mindestens einem der Anspriiche 
9 bis 11, dadurch gekezinzelchne-b/ dass der Speicher und 
der Rechnerkern nicht auf dem gleichen Chip angeordnet 
sind. 

13. Schaltungsanordnung nach mindestens einem der Anspriiche 
9 bis 11, dadurch gekennzeichnet, dass der Speicher und 
der Rechnerkern auf dem gleichen Chip angeordnet sind. 
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14. Schaltungsanordnung nach mindestens einem der Anspruche 
9 bis 13, dadurch gekennzeichnet, dass ein oder mehrere 
weitere Rechnerkerne (9) mit dem ersten Rechnerkern in 
einem Bauelement zusaininengef asst sind, wobei der/die 
weiteren Rechnerkerne nicht liber deren eigenen Bus mit 
einem dem/den weiteren Rechnerkernen zugeordneten Appli- 
kationsspeicher verbunden sind, sondern far deren Verar- 
beitung den mit dem ersten Rechnerkern verbundenen Ap- 
plikationsspeicher nutzen. 

15. Schaltungsanordnung nach mindestens einem der AnsprUche 
9 bis 14, dadurch gekennzeichnet, dass der mindestens 
eine weitere Rechnerkern Speicherzugrif f e uber die erste 
Fehlererkennungseinrichtung durchf uhrt . 

16. Schaltungsanordnung nach Anspruch 15, durch gekennzeich- 
net, dass die durch die erste Fehlererkennungseinrich- 
tung an den/die weiteren Rechnerkerne abermittelten Da- 
ten uberpruft und im Fehlerfall, falls eine Fehlerkor- 
rektur moglich ist, korrigiert sind. 
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